[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Opera-Browser jetzt kostenlos erhältlich

Daniel Leidert wrote:
> | Disclaimer: Information on this site is not part of the
> | Debian-Project!

Und das tut zur Sache?

> Auch hier gilt: Paket ohne Quelle, das angeblich von Opera stammt. Um
> das zu prüfen muss die md5-Summe herangezogen werden, was apt-get nicht
> tut.

Macht ja auch nicht Sinn, das orig.tar.gz mit Upstream zu vergleichen.
Der, der das Paket ins Archiv geladen hat, garantiert mit seinem Namen
nach bestem Wissen und Gewissen dafuer, dass das Paket integer ist.

> Ergo müsste es der User selbst tun und dann kann er sich das Paket
> auch von der Originalquelle besorgen.

Dann soll er das doch machen. Jedem soviel Aufwand, wie er vertraegt.

> Nochmal: Wodurch wird das
> Binary-Paket vertrauenswürdig?

Darum gehts (urspruenglich) nicht. Gefragt war ein Repository, das
aktuelle Opera Pakete fuehrt und zeitnahe Updates hat. Debian Unofficial
erfuellt dies.

> Weil dein Name unter
> http://www.debian-unofficial.org/legal.html steht?

Ob mir jemand vertraut, ist mir voellig egal und ist jedem selber
ueberlassen (und ist auch primaer nicht das Thema dieses Threads).

> Im Übrigen halte ich:
> 
> |$package cannot be uploaded into the official Debian repository, (i.e.
> |binary only stuff [..]
> ^^^^^^^^^^^^^^^^^^

Das ist eine unvollstaendige Liste von Gruenden, warum ein Paket nicht
in Debian sein kann, und darum ein moeglicher Kandidat fuer Debian
Unofficial ist.

> für mehr als zweifelhaft und problematisch. Drittquellen für
> closed-source-Software sind per Definition nicht vertrauenswürdig. Wer
> überprüft in diesen Fällen, dass das Paket keine Schadfunktionen
> enthält? Wer prüft, dass das Paket auf dem Weg vom Hersteller/Autor bis
> zu eurem Repository nicht verändert wurde? Tust du das? Woran kann ich
> das als (theoretischer) Endbenutzer prüfen?

Darum geht es nicht, siehe oben. Wenn du Opera nicht traust, brauchst du
mir auch nicht zu trauen.

Wenn du Opera (oder jedes andere Paket aus Debian Unofficial)
installieren willst, kannst du das auch von der Originalquelle besorgen
und hoffen, dass du moeglichen Schadcode siehst. Wenn du nicht soviel
Aufwand treiben moechtest oder kannst, dann installierst du das Paket
aus Debian Unofficial - denn genau dafuer ist das Repository da: das zur
Verfuegungstellung von Paketen in einem zentralen Repository von
Paketen, die (aus guten Gruenden) nicht in Debian sind, aber trotzdem
viele Leute gerne haben moechten/nutzen. Dass diese in einem einzigen,
unabhaengigen Repository gesammelt sind, ist nur eine Frage der
Bequemlichkeit und Dienstleistung gegenueber den Nutzern.

Falls du je mal ein Paket aus Debian benutzt hast von mir, hoffe ich,
dass du mit genau derselben Paranoia an die Sache rangehst - auch da ist
es ganz gut moeglich, potentiellen Schadcode einzuschleusen den
_erstmal_ niemand entdeckt.

-- 
Address:        Daniel Baumann, Burgunderstrasse 3, CH-4562 Biberist
Email:          daniel.baumann@panthera-systems.net
Internet:       http://people.panthera-systems.net/~daniel-baumann/
Reply to: